Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

BDU:2026-07709

CVSS: 9.7
16.04.2026

Уязвимость компонента lib/adapters/http.js библиотеки axios, позволяющая нарушителю выполнить атаку типа "человек посередине" (MITM)

Уязвимость компонента lib/adapters/http.js библиотеки axios связана с возможностью обхода механизмов контроля доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «человек посередине» (MITM)
Статус уязвимости:
Подтверждена производителем
Уязвимость устранена
Дата выявления: 16.04.2026
Класс уязвимости: Уязвимость многофакторная
Наличие эксплойта: Существует в открытом доступе
Способ эксплуатации: Данные уточняются
Способ устранения: Нет данных
Меры по устранению: Использование рекомендаций производителя:
https://github.com/axios/axios/security/advisories/GHSA-35jp-ww65-95wh/#poc

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE
Идентификатор Описание
CWE-1321 The product receives input from an upstream component that specifies attributes that are to be initialized or updated in an object, but it does not properly control modifications of attributes of the object prototype.
CWE-441 The product receives a request, message, or directive from an upstream component, but the product does not sufficiently preserve the original source of the request before forwarding the request to an external actor that is outside of the product's control sphere. This causes the product to appear to be the source of the request, leading it to act as a proxy or other intermediary between the upstream component and the external actor.

CVSS

Система общей оценки уязвимостей
Оценка Severity Версия Базовый вектор
9.7 HIGH 2.0 AV:N/AC:L/Au:N/C:C/I:C/A:P

Идентификаторы других систем описаний уязвимостей

CVE-2026-44494
Вендор:
  • NPM, Inc.
Тип ПО:
  • Прикладное ПО информационных систем
Наименование ПО:
  • axios
Версия ПО:
  • от 1.0.0 до 1.16.0 (axios)
Ссылки на источники:

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.